카카오톡, `보안 문제없다`...도청 실험 업체도 오류 인정

 안드로이드폰에서 카카오톡이 도청(스니핑)된다는 일부 언론의 보도에 대해 개발사인 카카오(대표 이제범)가 강력하게 반발하고 나섰다. 아이폰과 같은 암호화 방식을 사용하기 때문에 도청이 불가능하다는 주장이다. 실험을 진행한 쉬프트웍스도 상용제품이 아닌 개발용 시제품으로 도청한 것을 인정했으며, 기사화 과정에서 오류가 있었다고 해명했다.

 카카오는 23일 “카카오톡은 개발 초창기부터 보안에 많은 투자를 했다”며 “와이파이 환경에서 아이폰뿐만 아니라 안드로이드폰에서도 SSL 암호화 방식을 적용해 안전하게 메시지를 전송하고 있다”고 밝혔다.

 이에 따라 아이폰·갤럭시S·베가 등 국내 출시된 대부분의 스마트폰에서 스니핑이 불가능하다는 입장이다.

 또 카카오톡을 스니핑했다는 언론사와 모바일 보안업체 쉬프트웍스(대표 홍민표)로부터 실험 데이터를 받아본 결과, 실험에 사용된 폰의 모델명이 국내에 출시되지 않은 개발용 모델(Android Dev Phone-1)이었다고 설명했다.

 카카오 측은 “실제 출시된 폰이 아닌 에뮬레이터 또는 조작된 환경에서 실험한 것으로 보인다”며 “실험에 사용된 기기는 구글이 안드로이드 운용체계(OS)를 만들고, 상용버전으로 출시하기 전에 개발을 위한 시제품을 판매한 것”이라고 설명했다. 이어 “개발자용 단말기는 일반 단말기와 달리 루트(root) 권한이 주어져있고, Dev Phone은 하드웨어까지 잠겨있지 않아(unlock) USB 설정이 없어도 자동으로 인식된다”고 덧붙였다.

 박용후 카카오 이사는 “향후 신뢰할 수 있는 업체를 통한 보안컨설팅으로 공개적으로 안정성을 증명할 계획”이라며 “사실과 다른 내용을 보도한 언론사를 상대로 손해배상 등 법적조치를 검토하고 있다”고 말했다.

 한편 홍민표 쉬프트웍스 사장은 “처음 실험에 응했던 것은 좋은 의미로 mVoIP가 보안에 취약한 사실을 알려주고 싶어서였다”며 “(카카오톡 도청) 실험은 전문가들이 특수한 환경에서만 할 수 있는 것이지 일반인들이 쉽게 할 수 있는 것이 아니다”라고 말했다. 홍 사장은 “어떤 서비스도 고도의 해커들은 뚫을 수 있는데, 이것을 일반화하는 것은 잘못된 것”이라며 “카카오톡은 보안에 절대 취약하지 않으며 사용자들이 불안을 느낄 필요가 없다고 생각한다”고 강조했다.

  권건호기자 wingh1@etnews.co.kr